infobloxopen/threat-intelligence

# 威胁情报 [Infoblox Threat Intel ](https://www.infoblox.com/threat-intel/) 负责检测、管理并发布与相关网络攻击活动有关的威胁情报数据。TIG 正通过此公共仓库共享与网络安全社区高度相关的威胁妥协指标 (IOC)。 以下内容包含对每个数据集（即数据文件夹）内容的描述。此仓库中的文件夹包含与 [MISP](https://www.misp-project.org/) 兼容的 csv 和 JSON 文件。 Infoblox 在“知识共享署名 4.0 国际 (CC BY 4.0)”许可下提供这些材料。该许可允许您共享和改编这些材料，特别是将其用于商业和非商业安全目的，前提是：需标明 Infoblox 的署名并遵守该许可。有关更多详细信息，请参阅我们仓库中的 LICENSE 文件或访问 https://creativecommons.org/licenses/by/4.0/ ## 指标 indicators 文件夹包含与 MISP 兼容的 csv 和 JSON 格式文件。其内容涉及引人注目的网络犯罪事件，例如由特定 DNS 威胁行为者控制的 IOC，或与重大战争冲突和自然灾害相关的网络攻击活动。 大部分内容基于 Infoblox 的内部分析和验证分析，不过也包含部分 OSINT 内容。文件中包含一个描述指标威胁严重程度的分类列。分类为“恶意 (malicious)”的指标大多是已确认的威胁，而分类为“可疑 (suspicious)”的指标则属于高风险。Infoblox 建议阻止来自这些文件中描述的高威胁严重程度网络指标的流量。 ## research_data 此文件夹包含与恶意二进制文件相关的有用信息，可帮助安全专业人员在其网络中找到其他相关软件。信息包括恶意软件使用的配置设置或加密密钥。我们还针对特定威胁提供 [YARA 规则](https://yara.readthedocs.io/en/stable/writingrules.html)。 安全运营中心 (SOC) 团队和威胁研究人员可以追溯运行这些规则，以确定其网络以前是否曾是恶意软件的目标。 ## sample-code Infoblox 与网络安全社区共享代码，以期促进威胁研究、调查和自动化检测。这包括可以帮助研究人员复现我们在出版物中描述并分享的结果的实用代码。我们通常在 GNU 通用公共许可证 v3.0+ 下分发我们的代码示例。 ###### 模式表 | 字段 | 描述 | |----------------|----------------------------------------------------------------------------------------------------------------------------------------------| | type | IOC 的数据类型。可选项：domain、ip、url、sha256 和 email。 | | indicator | 也称为 IOC，此分析工件是与在线活动相关的一段取证数据。 | | classification | 解释 IOC 性质的描述性标签。 | | detected_date | 该值的格式为 ISO 8601，表示我们检测到该 IOC 的日期。 | ### 出版物 此仓库中的指标包含与我们关于威胁环境的出版物相关的内容。 [“乌克兰战争”恶意垃圾邮件分发 Remcos RAT](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-campaign-briefs/ukraine-war-malspam-delivers-remcos/) [乌克兰主题恶意垃圾邮件分发 Agent Tesla](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-campaign-briefs/ukraine-themed-malspam-drops-agent-tesla/) [乌克兰支援诈骗](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/cyber-threat-advisory-ukrainian-support-fraud/) [诈骗者第一时间赶赴土耳其的“世纪灾难”现场](https://blogs.infoblox.com/cyber-threat-intelligence/scammers-first-on-the-scene-for-turkiyes-disaster-of-the-century/) [内部发出的 Smish 攻击](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/the-smish-is-coming-from-inside-the-house/) [VexTrio DDGA 域名传播 Adware、Spyware 和诈骗 Web 表单](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/vextrio-ddga-domains-spread-adware-spyware-and-scam-web-forms/) [庞大的恶意广告网络劫持浏览器设置以传播 Riskware](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/vast-malvertising-network-hijacks-browser-settings-to-spread-riskware/) [Emotet：一个不断作恶的恶意软件家族](https://blogs.infoblox.com/cyber-threat-intelligence/emotet-a-malware-family-that-keeps-going/) [利用虚假名人代言的诈骗瞄准欧盟国家](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/scams-using-fake-celebrity-endorsements-target-eu-countries/) [法国 Smishing 攻击活动利用虚假社会保障门户网站](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/french-smishing-campaign-uses-fake-social-security-portal/) [请勿拨打该号码！通过虚假支持电话分发钓鱼仿冒品](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-campaign-briefs/dont-dial-that-number-distribution-of-phishing-lookalikes-through-fake-support-calls/) [猎狗行动：通过异常 DNS 流量发现 Decoy Dog 工具包](https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/) [Decoy Dog 绝非 Pupy（妥协指标）](https://blogs.infoblox.com/cyber-threat-intelligence/decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns/) [Decoy Dog 绝非普通的 Pupy（白皮书）](https://www.infoblox.com/resources/whitepaper/decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns) [在 DNS 中发现的可疑 DGA 域名现身恶意软件活动](https://blogs.infoblox.com/cyber-threat-intelligence/suspicious-dga-domains-discovered-in-dns-turn-up-in-malware-campaigns/) [Open Tangle 为消费者布下钓鱼网](https://blogs.infoblox.com/cyber-threat-intelligence/open-tangle-creates-a-phishing-net-for-consumers/) [Prolific Puma：阴暗的短链接服务助长网络犯罪](https://blogs.infoblox.com/cyber-threat-intelligence/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/) [您的包裹无法送达：识别 USPS Smishing 基础设施](https://blogs.infoblox.com/cyber-threat-intelligence/phishers-weather-the-storm-the-dns-landscape-of-us-postal-smishing-attacks/) [网络犯罪中心：VexTrio 运营着庞大的犯罪联盟计划](https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program) [当心浅水区：Savvy Seahorse 通过 Facebook 广告将受害者引诱至虚假投资平台](https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads/) [RDGA：域名生成算法的新篇章](https://blogs.infoblox.com/threat-intelligence/rdgas-the-next-chapter-in-domain-generation-algorithms/) [VIGORISH VIPER：恶毒的赌局](https://www.infoblox.com/threat-intel/threat-actors/vigorish-viper/) [出门在外请小心](https://blogs.infoblox.com/threat-intelligence/lets-be-careful-out-there/) [不，ELON MUSK 并未出现在美国总统辩论中](https://blogs.infoblox.com/threat-intelligence/no-elon-musk-was-not-in-the-us-presidential-debate/) [DNS 捕食者攻击：毒蛇与老鹰劫持坐以待毙的鸭子域名](https://insights.infoblox.com/resources-research-report/infoblox-research-report-dns-predators-attack-vipers-hawks-hijack-sitting-ducks-domains) [DOH 与 DNS MX 滥用的钓鱼传说](https://blogs.infoblox.com/threat-intelligence/a-phishing-tale-of-doh-and-dns-mx-abuse/) [TELEGRAM 探戈：与骗子共舞](https://blogs.infoblox.com/threat-intelligence/telegram-tango-dancing-with-a-scammer/) [多云伴劫持。被遗忘的 DNS 记录助长扫描行为者](https://blogs.infoblox.com/threat-intelligence/cloudy-with-a-chance-of-hijacking-forgotten-dns-records-enable-scam-actor/) [推诿设计：DNS 驱动对恶意广告网络的洞察](https://www.infoblox.com/blog/threat-intelligence/deniability-by-design-dns-driven-insights-into-a-malicious-ad-network/) [横幅、机器人和屠夫：针对日本、亚洲及更远地区的自动化长期骗局](https://www.infoblox.com/blog/threat-intelligence/banners-bots-and-butchers-an-automated-long-con-targeting-japan-asia-and-beyond/) [滥用 .arpa：本不应托管任何内容的 TLD](https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/) [深入 Keitaro 滥用：源源不断的 AI 驱动投资诈骗](https://www.infoblox.com/blog/threat-intelligence/inside-keitaro-abuse-a-persistent-stream-of-ai-driven-investment-scams/) [无法触达，便无风险：现代网络犯罪分发中的 Keitaro 滥用](https://www.infoblox.com/blog/threat-intelligence/no-reach-no-risk-the-keitaro-abuse-in-modern-cybercrime-distribution/) [模式、盗版者与提供商的行动：我们在与 Keitaro 合作中学到的经验](https://www.infoblox.com/blog/threat-intelligence/patterns-pirates-and-provider-action-what-we-learned-working-with-keitaro/) [诈骗、奴隶与（恶意软件即）服务：追踪木马至柬埔寨的诈骗中心](https://www.infoblox.com/blog/threat-intelligence/scams-slaves-and-malware-as-a-service-tracking-a-trojan-to-cambodias-scam-centers/) ### 附加信息 Infoblox 客户可以在 Threat Intelligence Data Exchange (TIDE) 数据库的 `notes` 字段中，找到有关特定指标决策标准的更多详细信息。

标签：AMSI绕过, DNS信息、DNS暴力破解, DNS安全, ESC4, Homebrew安装, Infoblox, IOC, OSINT, YARA规则, 可重复部署, 妥协指标, 威胁情报, 威胁检测, 安全数据集, 实时处理, 密码管理, 库, 应急响应, 开发者工具, 恶意软件, 指标共享, 数据共享, 网络信息收集, 网络威胁狩猎, 网络安全, 网络犯罪, 隐私保护